原创力文档- 0
- 0
- 约7.45千字
- 约 12页
- 2026-01-31 发布于江苏
- 举报
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心原则是:
A.在开发后期集中进行安全测试
B.将安全活动“左移”至开发全周期
C.仅依赖第三方安全工具完成防护
D.由安全团队独立负责所有安全活动
答案:B
解析:SDL的核心是“安全左移”(ShiftLeft),强调在需求分析、设计、开发等早期阶段融入安全活动,而非后期补救(排除A)。安全需全员参与(开发、测试、安全团队协作),不能仅依赖第三方工具或安全团队(排除C、D)。
以下哪项是SDL需求分析阶段的关键输出?
A.威胁模型文档
B.安全需求规格说明书
C.漏洞修复报告
D.依赖项安全清单
答案:B
解析:需求分析阶段需明确系统安全需求(如数据加密等级、身份认证要求),输出安全需求规格说明书(B正确)。威胁模型在设计阶段完成(A错误),漏洞修复报告是测试阶段输出(C错误),依赖项清单在开发阶段管理(D错误)。
微软SDL中“安全开发生命周期”的起始阶段是:
A.概念阶段
B.设计阶段
C.开发阶段
D.测试阶段
答案:A
解析:微软SDL框架将“概念阶段”作为起点,在此阶段定义项目范围、安全目标和风险接受准则(A正确)。设计、开发、测试均为后续阶段(B、C、D错误)。
以下哪种安全测试方法属于“动态应用安全测试(DAST)”?
A.静态代码扫描(SAST)
B.运行时漏洞注入测试
C.依赖项漏洞分析(SCA)
D.内存泄漏检测(IAST)
答案:B
解析:DAST通过模拟攻击测试运行中的系统,如漏洞注入(B正确)。SAST分析源代码(A错误),SCA检测第三方依赖(C错误),IAST结合运行时和代码分析(D错误)。
根据OWASPSDL实践,“安全编码规范”应在哪个阶段制定?
A.需求分析阶段
B.设计阶段
C.开发阶段
D.发布阶段
答案:B
解析:OWASP建议在设计阶段定义安全编码规范(如输入验证规则、加密算法选择),为开发提供指导(B正确)。需求阶段明确目标(A错误),开发阶段执行规范(C错误),发布阶段验证(D错误)。
以下哪项不属于SDL中“威胁建模”的常用方法?
A.STRIDE
B.PASTA
C.OWASPTop10
D.VAST
答案:C
解析:威胁建模方法包括STRIDE(微软)、PASTA(过程式威胁分析)、VAST(可视化分析),OWASPTop10是常见漏洞列表(C错误)。
SDL中“安全评审”的主要目的是:
A.替代安全测试
B.识别设计或代码中的安全缺陷
C.满足合规性要求
D.评估安全工具性能
答案:B
解析:安全评审(如代码走查、设计评审)的核心是早期发现缺陷(B正确)。它是测试的补充而非替代(A错误),合规是附加目标(C错误),工具评估是独立活动(D错误)。
根据NISTSP800-64,“系统发布前”必须完成的SDL活动是:
A.安全需求重审
B.漏洞修复优先级排序
C.最终安全验收测试
D.威胁模型更新
答案:C
解析:NIST要求发布前完成最终安全验收测试(C正确),确认所有安全需求满足。需求重审在需求阶段(A错误),漏洞修复在测试阶段(B错误),威胁模型更新在设计变更时(D错误)。
以下哪种场景最符合SDL“最小权限原则”的实践?
A.数据库管理员拥有所有表的读写权限
B.普通用户仅能访问个人数据
C.开发人员有权限修改生产环境代码
D.系统默认启用所有服务端口
答案:B
解析:最小权限原则要求用户仅获得完成任务所需的最小权限(B正确)。A、C、D均违反该原则(权限过大或默认开放)。
SDL中“依赖项管理”的核心目标是:
A.减少第三方库数量
B.确保依赖项无已知漏洞
C.降低开发成本
D.提高代码复用率
答案:B
解析:依赖项管理(SCA)的核心是识别并修复第三方库中的已知漏洞(B正确)。减少数量或降低成本是间接目标(A、C错误),提高复用率是开发目标(D错误)。
二、多项选择题(共10题,每题2分,共20分)
以下属于SDL关键阶段的有():
A.需求分析
B.设计
C.开发
D.退役
答案:ABCD
解析:SDL覆盖全生命周期,包括需求、设计、开发、测试、发布、运维、退役(ABCD均正确)。
威胁建模的“STRIDE”模型包含的威胁类型有():
A.欺骗(Spoofing)
B.篡改(Tampering)
C.抵赖(Repudiation)
D.信息泄露(InformationDisclosure)
答案:ABCD
解析:STRIDE包括欺骗(S)、篡改(T)、抵赖(R)、信息泄露(I)、拒绝服务(D)、权限提升(E)(ABCD均正确)
文档评论(0)